日本電気(株)と(株)ラックは21日、大量のデータを解析して目的の情報を見つけ出すデータマイニング技術を利用したセキュリティー監視技術を開発し、その実証実験に成功したと発表した。開発したのは、サーバーへのSQLインジェクション攻撃などを予測して防止する技術と、パソコンのイベントログを分析し、情報漏えいの疑いがある不審行動を発見する作業効率を向上させる技術の2つ。
SQLインジェクション攻撃などを予測して防止する技術は、時系列データの変化点を高速で検索できるNECのマイニングエンジン“ChangeFinder”を利用した技術で、ウェブサーバーへアクセスするトラフィック量を分析し、急激に変化が起きた時点で警告を発するもの。事前に定義したパターンとの照合によって攻撃を検知するシグネチャーベースでの監視より、早く攻撃の予兆がとらえられるという。
不審行動の分析の効率を向上させる技術は、ログをスコアリングし、異常行動に高いスコアを与えるNECのマイニングエンジン“AccessTracer”を利用したもので、パソコンのイベントログから、情報漏えいの疑いがある行為の個所を効率よく絞り込めるという。
実証実験では、ウェブサーバーへのアクセスログ約300万行を約2分間で解析し、その中から異常なふるまいを自動検知し、SQLインジェクション攻撃の予兆を被害発生の22時間前に補足したという。不審行動分析の実験では、パソコンに記録されたイベントログ1万行の中で通常のパターンから外れている部分に高いスコアをつけ、その上位1.5%に犯罪行為がすべて含まれていたとしている。
